Assessoria de Segurança
Comunicado de Segurança da Microsoft 2506014
Atualização para o carregador do sistema operacional Windows
Publicado em: 12 de abril de 2011
Versão: 1.0
Informações Gerais
Resumo Executivo
A Microsoft está anunciando a disponibilidade de uma atualização para winload.exe para resolver um problema na imposição de assinatura de driver. Embora este não seja um problema que exija uma atualização de segurança, esta atualização aborda um método pelo qual drivers não assinados podem ser carregados por winload.exe. Esta técnica é frequentemente utilizada por malware para permanecer residente em um sistema após a infeção inicial.
O problema afeta e a atualização está disponível para edições baseadas em x64 do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Para obter mais informações sobre esta versão, consulte o artigo 2506014 da Base de Dados de Conhecimento Microsoft.
Detalhes do Comunicado
Referências de Edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2506014 |
Software afetado e não afetado
Este comunicado descreve o seguinte software.
| Software afetado |
|---|
| Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
| Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 |
| Software não afetado |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 |
Perguntas Mais Frequentes
Qual é o âmbito do aconselhamento?
Este comunicado fornece esclarecimentos e notificações sobre a disponibilidade de uma atualização não relacionada à segurança para resolver um problema na imposição de assinatura de driver. A atualização aborda um método pelo qual drivers não assinados podem ser carregados por winload.exe. Esta técnica é frequentemente utilizada por malwares, como rootkits, para permanecer residente em um sistema após a infeção inicial. O problema afeta o software listado na tabela Softwares afetados acima.
O que faz com que esse problema ocorra?
Durante o processo de inicialização, winload.exe determina o estado assinado dos binários do sistema. Certas inadequações neste processo permitem que binários não assinados sejam carregados. Quando isso ocorre, o Windows não consegue garantir a integridade de determinados componentes principais do sistema operacional.
O que é o Windows OS Loader (winload.exe)?
O Windows OS Loader (winload.exe) carrega o kernel do Windows e suas dependências, bem como os drivers de inicialização inicial. Este componente também contém código que consulta o BIOS de um sistema para recuperar informações básicas de dispositivo e configuração. Esta aplicação faz parte do sistema operativo e carrega uma versão específica do Windows. Ele usa o firmware para carregar o kernel do sistema operacional e para inicializar drivers de dispositivo críticos a partir de um disco rígido local.
O que é a assinatura de motorista?
A assinatura de driver associa uma assinatura digital a um pacote de driver. A instalação do dispositivo Windows usa assinaturas digitais para verificar a integridade dos pacotes de driver e para verificar a identidade do fornecedor (editor de software) que fornece os pacotes de driver. Além disso, a política de assinatura de código de modo kernel para edições baseadas em x64 do Windows Vista e versões posteriores do Windows especifica que um driver de modo kernel deve ser assinado para que o driver seja carregado. Para obter mais informações sobre assinatura de driver, consulte o artigo do MSDN, Driver Signing.
O que é um rootkit?
Um rootkit é um programa cujo objetivo principal é executar certas funções que não podem ser facilmente detetadas ou desfeitas por um administrador de sistema, como esconder-se ou outro malware.
Esta atualização remove um rootkit de um sistema infetado?
N.º A atualização impede um método conhecido que os rootkits usam para se esconder de programas antimalware. Mesmo depois que a atualização for instalada, um sistema infetado com um rootkit ainda precisará ser limpo por outros meios.
Como posso determinar se o meu sistema está infetado com um rootkit?
Uma vez que a atualização é aplicada, um programa anti-malware instalado deve ser capaz de detetar o rootkit e informá-lo de sua presença.
Como desinstalo um rootkit?
A remoção manual não é recomendada para a maioria dos rootkits. Use a Ferramenta de Remoção de Software Mal-Intencionado da Microsoft, o Microsoft Security Essentials, o verificador de segurança do Windows Live OneCare ou outra ferramenta de verificação e remoção atualizada para detetar e remover essa ameaça e outros softwares indesejados do seu computador. Para obter mais informações sobre os produtos de segurança da Microsoft, consulte https:.
Esta atualização evitará a ocorrência de infeções futuras?
N.º Esta atualização aumenta a dificuldade dos rootkits de se esconderem, mas como não aborda uma vulnerabilidade de segurança, não impediria que uma futura infeção por malware ocorresse.
Por que esta atualização só está disponível para sistemas baseados em x64?
A assinatura de driver não é um requisito das edições de 32 bits das versões listadas do sistema operacional Windows. Os sistemas baseados em Itanium não são afetados por esse problema.
Eu sou um desenvolvedor que envia binários assinados. Esta atualização exigirá que eu assine novamente todos os meus binários?
N.º Esta atualização não requer quaisquer alterações aos binários assinados existentes.
Como a Microsoft listará essa atualização no site Windows Update?
A atualização para o kernel do Windows é uma atualização de alta prioridade no site Windows Update. No site Windows Update, ele será listado na categoria Atualizações de "Alta Prioridade" para clientes que ainda não receberam a atualização e estão executando o software listado acima.
Esta atualização será distribuída através das Atualizações Automáticas?
Sim, esta atualização é distribuída através das Atualizações Automáticas para os sistemas listados na tabela de Softwares afetados acima.
Esta é uma atualização que requer um boletim?
Não, este não é um problema que exija um boletim de segurança da Microsoft e uma atualização de segurança. Para que um programa execute código como descrito acima, o programa já deve estar sendo executado em nível privilegiado. A atualização faz alterações para ajudar a garantir que apenas os programas pretendidos que foram assinados por uma autoridade de certificação válida possam ser executados em winload.exe durante a fase de inicialização.
Este é um comunicado de segurança sobre uma atualização não relacionada à segurança. Não é uma contradição?
Os avisos de segurança abordam alterações de segurança que podem não exigir um boletim de segurança, mas ainda podem afetar a segurança geral do cliente. Os avisos de segurança são uma forma de a Microsoft comunicar informações relacionadas com a segurança aos clientes sobre problemas que podem não ser classificados como vulnerabilidades e que podem não exigir um boletim de segurança, ou sobre problemas para os quais não foi lançado nenhum boletim de segurança. Neste caso, estamos a comunicar a disponibilidade de uma atualização que afeta a sua capacidade de efetuar atualizações subsequentes, incluindo atualizações de segurança. Portanto, este comunicado não aborda uma vulnerabilidade de segurança específica; em vez disso, aborda a sua segurança geral.
Ações Sugeridas
Consulte os artigos da Base de Dados de Conhecimento Microsoft associados a este comunicado
Incentivamos os clientes a instalar essas atualizações. Os clientes interessados em saber mais sobre essas atualizações devem consultar o Artigo 2506014 (em inglês) da Microsoft Knowledge Base.
Para obter mais informações sobre a terminologia que aparece neste comunicado, como "atualização", consulte o artigo 824684 da Base de Dados de Conhecimento Microsoft.
Proteja o seu computador
Continuamos a incentivar os clientes a seguir a nossa orientação Proteja o seu computador de ativar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre estas etapas visitando Proteja seu computador.
Manter o Windows atualizado
Todos os utilizadores do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que os seus computadores estão tão protegidos quanto possível. Se não tiver a certeza se o seu software está atualizado, visite o Windows Update, analise o seu computador em busca de atualizações disponíveis e instale quaisquer atualizações de alta prioridade que lhe sejam oferecidas. Se tiver as Atualizações Automáticas ativadas, as atualizações ser-lhe-ão entregues quando forem lançadas, mas tem de se certificar de que as instala.
Outras informações
Programa Microsoft Ative Protections (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal de atualização de segurança. Os fornecedores de software de segurança podem então utilizar estas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de deteção de intrusões baseados na rede ou sistemas de prevenção de intrusões baseados em anfitrião. Para determinar se as proteções ativas estão disponíveis em provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros de programa, listados em Parceiros do Microsoft Ative Protections Program (MAPP).
Comentários
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Exclusão de Responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (12 de abril de 2011): Comunicado publicado.
Construído em 2014-04-18T13:49:36Z-07:00</https:>